[TUTO] DNS Server

[PiwiLAbruti]

Il y a 12 heures, falcon7 a dit :

pour info j'ai mis comme nom de domaine par exemple : carbon.localhost, et un alias sur test.carbon.localhost.

Le nom localhost et tous ses sous-domaines, comme machin.truc.localhost par exemple, se résoudront toujours en 127.0.0.1 et ::1.

Il faut donc que tu utilises un autre domaine de premier niveau que localhost.

[falcon7]

c'est noté, merci @PiwiLAbruti

[falcon7]

merci pour ton aide @Jeff777

[mick45000]

Bonsoir, j'ai voulu suivre le tuto, pour pouvoir accéder directement mon nas via une adresse plus simple en local du type nas.ndd.fr   du coup maintenant cela me renvoi sur "

Your website is not set up yet.

Web Station has been enabled."

au lieu de l'accès DSM, l'accès aux applications  avec nas.ndd.f/file, nas.ndd.fr/ audio marche très bien.

j'ai crée le cache DNS local  sur mon routeur et le la zone dns local sur mon nas.

J'ai loupé quelque chose en suivant le tuto?

[CyberFr]

Il y a 15 heures, mick45000 a dit :

Your website is not set up yet.

Cela ressemble à l'oubli du numéro de port de DSM dans nas.ndd.fr. Soit tu accèdes au NAS par nas.ndd.fr:numéro_de_port_DSM, soit tu crée un reverse-proxy.

[Superthx]

Bonjour j'ai decouvert recemment un pbl. Et je trouve pas d'où cela vient.
Pour faire simple j'ai configurer un serveur DNS avec une zone maitre sur l'ip publique 1.1.1.1 (adresse fictive, c'est une ip fixe sur un NAS avec la derniere version de DSM 6).
Les requetes marchent sans problemes.
J'ai voulu creer sur un autre NAS une zone esclave et c'est la que cela bloque.
Pour update via ip ou la clé cela ne marche pas. Par exemple avec la clé j'ai ceci dans les logs.
zone mondomaine.com/IN/WAN: refresh: failure trying master 1.1.1.1#53 (source 0.0.0.0#0): expected a TSIG or SIG(0)
Que se passe t'il ? Merci

Modifié le 28 juin 2024 par Superthx

[PiwiLAbruti]

Est-ce que les NAS sont sur le même réseau ?

Est-ce que l'adresse IP du NAS secondaire est bien autorisée dans la vue qui diffuse la zone ?

[Superthx]

Merci @PiwiLAbruti
Non du tout.
On va dire que celui qui est sur la zone slave a l'ip 2.2.2.2.
Il a une WAN comme dans le tuto.
Les port 53 TCP et UDP sont bien ouverts dans les deux ip

[PiwiLAbruti]

Est-ce que les ports sont également bien ouverts dans les pare-feux de chaque NAS ?

L'adresse IP du NAS distant est bien incluse dans la vue à laquelle la zone est associée ?

[Superthx]

il y a 49 minutes, PiwiLAbruti a dit :

Est-ce que les ports sont également bien ouverts dans les pare-feux de chaque NAS ?

les pare-feux sont desactivé. Avec nmap les ports 53 sont bien ouverts auatant en TCP que UDP
 

il y a 49 minutes, PiwiLAbruti a dit :

L'adresse IP du NAS distant est bien incluse dans la vue à laquelle la zone est associée ?

Quel est le NAS distant pour toi ? Dans chaque NAS j'ai une vue WAN avec Liste d'IP source ALL. Si je met l'ip de l'un ou de l'autre seul les ip mises pourront voir mes zones. Donc le limiter que a une ip.......

En plus c'est bizarre c'est depuis que j'ai mon nouveau NAS en DSM 7.2. Mon ancien NAs ne me la jamais fait. 

Modifié le 28 juin 2024 par Superthx
one more think

[PiwiLAbruti]

Le NAS distant est celui qui réplique la zone principale distante (du NAS local) vers sa zone secondaire locale.

Je réplique également des zones DNS entre 3 NAS avec des clés TSIG sans souci, je ne vois pas ce qui peut coincer dans ta configuration.

Modifié le 28 juin 2024 par PiwiLAbruti

[Superthx]

il y a 6 minutes, PiwiLAbruti a dit :

Le NAS distant est celui qui réplique la zone principale distante (du NAS local) vers sa zone secondaire locale.

La zone WAN est ouvert a tous.

il y a 7 minutes, PiwiLAbruti a dit :

Je réplique également des zones DNS entre 3 NAS avec des clés TSIG sans souci, je ne vois pas ce qui peut coincer dans ta configuration.

Perso j'avais jamais eu ce pbl. C'est en modifiant une entrée CNAME sur la zone master que la zone slave ne se mettait pas à jour. J'ai essayer au lieu de la clé via IP et j'ai aussi une erreur.
Les 3 NAS que tu as on quel version de DNS SERVER ? Je vais essayer plus tard de faire un DSM Virtuel voir si cela change au cas ou.

[PiwiLAbruti]

Le 28/06/2024 à 5:17 PM, Superthx a dit :

Les 3 NAS que tu as on quel version de DNS SERVER ?

Ce sont 3 versions différentes car les NAS concernés fonctionnent sous DSM 6.2.4, 7.1.1, et 7.2.1.

[Ging]

Bonjour et tout d'abord merci pour ce tuto très intéressant.

J'ai essayé de le suivre (pour les 2 premières parties, cache et dns local) mais j'ai un souci avec les applications mobiles sous Android (drive, photos etc)

Je vois dans les traces que les requêtes depuis mon navigateur Android interrogent bien le serveur Dns mais rien n'apparaît pour les applications et j'ai des erreurs instantanées comme quoi le serveur est inaccessible.

Les même requêtes depuis un PC sur le lan fonctionnent et j'ai testé avec nslookup.

Avez-vous une idée d'où peut venir le problème et comment investiguer ?

 

Par avance merci.

[Mic13710]

Pour les applications DS, il faut préciser le port 443 en fin d'url.

https://ndd:443

[Ging]

Il y a 14 heures, Mic13710 a dit :

Pour les applications DS, il faut préciser le port 443 en fin d'url.

https://ndd:443

Bonjour et merci de ta réponse qui me fait penser à quelque chose

Ma description n'est pas complète.

J'accède à mon nas depuis l'extérieur sur un port x qui est redirigé par un routeur sur un y de mon nas : l'accès depuis l'extérieur fonctionne (wifi coupé) 

Quand je suis sur mon lan (donc connecté au wifi) je souhaiterais accéder au nas avec les mêmes configurations des applications d'ou l'utilisation du serveur DNS avec zone locale. Dans ce cas, j'essaye donc d'accéder au nas sur le port x.

Peut-on spécifier un port lors de la définition d'une ressource de type A ?

Ou alors peut-être faut-il ajouter cette redirection dans le firewall du nas ?

(Je ne peux pas tester maintenant, n'ayant pas accès à la conf du nas)

J'espère avoir été clair 🫡

[Mic13710]

il y a 1 minute, Ging a dit :

Peut-on spécifier un port lors de la définition d'une ressource de type A ?

Non. Un enregistrement A ou CNAME ne fait que mettre en correspondance un ndd avec une IP.

il y a 3 minutes, Ging a dit :

faut-il ajouter cette redirection dans le firewall du nas ?

Non. Le firewall ne fait pas de redirection.

Je ne comprends pas pourquoi vous redirigez un port x vers un port y. Et pourquoi ne pas utiliser y vers y ?

[Ging]

il y a 10 minutes, Mic13710 a dit :

Non. Un enregistrement A ou CNAME ne fait que mettre en correspondance un ndd avec une IP.

D'accord.

J'accède aux différentes applications du nas via le nom de domaine et un port ouvert sur le routeur: mon x

Le routeur redirige alors les requêtes vers mon nas sur le port y

Le reverse proxy du nas (et non le firewall 😇) transfère alors la requête à la bonne application sur le nas.

Je pense que le problème vient de la redirection au niveau du routeur qui ne se fait pas sur le même port.

Quand j'accède au nas depuis le lan, c'est donc le mauvais port non ?

Si c'est bien ça,  est-il possible de redirige le port externe (x) vers le port interne (y) au niveau du nas ?

[Jeff777]

Il y a 6 heures, Ging a dit :

Si c'est bien ça,  est-il possible de redirige le port externe (x) vers le port interne (y)

Pourquoi faire simple quand on peut faire compliquer ?

Mais suivre les tutos à la lettre c'est beaucoup plus facile.😉

[Mic13710]

Il y a 7 heures, Ging a dit :

Le reverse proxy du nas (et non le firewall 😇) transfère alors la requête à la bonne application sur le nas.

Je rejoins @Jeff777.

Le but du reverse proxy c'est de diriger une requête vers son application. C'est aussi de s'affranchir des ports de ces mêmes applications pour n'utiliser que le port https par défaut (443).

Dès lors, il n'y a qu'un seul port à rediriger du NET vers le NAS c'est le 443 (en faisant abstraction des ports propriétaires comme par exemple le 6690 ou le 500, 4500, 1194 pour les VPN), ce qui évite justement d'indiquer un port particulier.

[TuringFan]

Bonjour,

 

Je rencontre un problème inédit. Sans avoir été en mesure de le résoudre je requierts donc votre aide s'il vous plait. J'ai également créé un ticket chez Synology.

 

Description de  mon problème (en quelques mots)

 

• Ma connexions aux pages internet et pleinement fonctionnelle via ma livebox.
• En revanche me connectant à mon routeur Synology je n'arrive plus (c'était fonctionnel depuis plusieurs année) depuis hier matin environ à accéder aux pages internet et j'obtiens systématiquement le message d'erreur "ERR_NAME_NOT_RESOLVED"  bien que tout semble au vert sur l'interface du Routeur et que le DNS indiqué soit celui de ma livebox.
• Je possède une configuration très similaire (configuration quasi identique et même routeur Synology) sur un autre site avec une box Red et rencontre le même problème !

 

Description de mon problème (en détails)

 

A noter en préambule que ma configuration était pleinement fonctionnelle depuis plusieurs années et que je suis intervenu dessus uniquement à la suite de ce problème, un problème de configuration est donc probablement à exclure.

 

J'ai un routeur Synology MR2200ac (adresse IP locale 192.168.1.2) qui est branché en DMZ derrière une livebox (adresse IP locale 192.168.1.1).
 

 

J'avais configuré mon routeur Synology en personnalisant les serveurs DNS à utiliser pour passer par ceux de FDN (DNS préféré : 80.67.169.12 et DSN secondaire : 80.67.169.40) et depuis plusieurs années cela fonctionnait très bien.

 

Mais depuis hier matin mon accès à des pages web ne semble plus fonctionner et j'obtiens systématiquement le message d'erreur "ERR_NAME_NOT_RESOLVED" dans mon navigateur. EN revanche mon DNS local semble fonctionnel car je peux par exemple atteindre mon NAS sur le LAN via son nom de domaine.

 

 

J'ai dans un premier temps regardé si des erreurs de connexions apparaissaient dans l'interface SRM et tout semble au vert.

 

Après avoir consulté le site de FDN le premier serveur DNS semble connaitre une panne majeure depuis plusieurs jours entrainant des opérations de maintenance d'une durée indéterminée. J'ai donc supprimé mes serveurs DNS personnalisés pour laisser le routeur assigner les valeurs par défaut (IP locale de la livebox).

 

Même après avoir effectué cette réinitialisation aux valeurs par défaut des serveurs DNS et une vidange du cache DNS j'obtiens toujours le même message d'erreur sur les pages internet.
 

 

L'adresse du serveur DNS semble correspondre à la passerelle de mon LAN (c'est à dire 192.168.10.1) comme on le voit par exemple sur DSM (l'interface de gestion du NAS Synology que j'ai en aval du Routeur Synology).

 

 

Peut-être est-ce une erreur de ma part mais je pensais que l'adresse 192.168.10.1 faisait pointer vers mon Routeur Synology depuis mon LAN celui-ci faisant alors la passerelle vers la livebox qui est à la fois sa passerelle vers Internet et son serveur DNS. Ainsi par transitivité je pensais que cette configuration permettait d'exploiter le DNS de la livebox.

Or en passant directement via ma livebox (en wifi) mon accès internet semble parfaitement fonctionnel avec une adresse DNS qui correspond à la livebox ce qui me fait penser que le problème est bien spécifique à mon routeur Synology ! 

 

 

Enfin, plus étonnant (ou alarmant) encore, je possède un autre routeur Synology sur un site distant avec une configuration très similaire voire quasi identique mais avec une box Red à la place de la livebox et je rencontre le même problème qui semble s'être déclenché à peu près en même temps !

 

A noter que j'ai concomitamment observé de nombreuses erreurs de connexions sur le DDNS (qui étaient j'imagine liée à mon problème de DNS) mais le DDNS semble finalement fonctionnel.

 

 

Pouvez-vous svp m'aider à résoudre ce problème ?

 

D'avance merci.

[PiwiLAbruti]

Peux-tu tester la résolution DNS vers des serveurs DNS tiers ?

> nslookup google.fr 94.140.14.14

Quel résultat donne une résolution DNS exécutée depuis le NAS ? (SSH + nslookup)

[.Shad.]

Sur l'impression d'écran qui reprend les réglages DNS de ton NAS, je vois que tu as précisé 192.168.10.1 (a priori la patte LAN de ton routeur Synology) en DNS primaire et 192.168.1.1 (a priori l'IP de ta box) en DNS secondaire.

A moins d'avoir des règles de routage spécifiques, ce n'est pas une configuration intéressante, soit tu passes par ton N+1 (ton routeur), soit directement par l'IP publique des serveurs DNS, mais pas un entredeux de la sorte.

Ton NAS est-il configuré en adressage statique ou il obtient ses informations par DHCP ?

[TuringFan]

Premièrement merci pour votre aide.

A noter que je ne suis volontairement pas intervenu sur mon réseau depuis mon post soit environ deux jours et que hier mon accès à internet via le wifi de mon routeur synology était d'abord non fonctionnel puis ensuite fonctionnel (sans action de ma part) et de nouveau non fonctionnel ce soir. Peut être une histoire de TTL ...

Le 16/03/2025 à 3:03 PM, PiwiLAbruti a dit :

Peux-tu tester la résolution DNS vers des serveurs DNS tiers ?

> nslookup google.fr 94.140.14.14

Quel résultat donne une résolution DNS exécutée depuis le NAS ? (SSH + nslookup)

@PiwiLAbruti voici la réponse à ta question (et un peu plus)

Depuis le NAS en SSH (en tant que user admin mais non root)

• Instruction nslookup google.fr 94.140.14.14

Server:         94.140.14.14
Address:        94.140.14.14#53

Non-authoritative answer:
Name:   google.fr
Address: 74.125.24.94
Name:   google.fr
Address: 2404:6800:4003:c03::5e

• Instruction nslookup google.fr (par curiosité)

Server:         192.168.1.1
Address:        192.168.1.1#53

Non-authoritative answer:
Name:   google.fr
Address: 216.58.214.163
Name:   google.fr
Address: 2a00:1450:4007:80e::2003

J'ai l'impression que c'est ma livebox qui prend le relai côté DNS puisque je ne précise aucun serveur à utiliser mais je n'obtiens alors pas la même IP publique de google.fr : est-ce normal ?

Depuis un client PC Windows via le terminal (après un flushdns)

• Instruction nslookup google.fr 94.140.14.14

Serveur :   dns.adguard-dns.com
Address:  94.140.14.14

Réponse ne faisant pas autorité :
Nom :    google.fr
Addresses:  2404:6800:4003:c03::5e
          74.125.24.94

• Instruction nslookup google.fr

Serveur :   UnKnown
Address:  192.168.10.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Le délai de la requête sur UnKnown est dépassé.

J'ai visiblement un problème sur le serveur DNS assigné car au delà de s'appeler UnKnow je ne vois pas d'appareil avec cette adresse IP sur mon réseau ! C'est probablement lié à la remarque ci-dessous de @.Shad. pourtant sur mon interface SRM 192.168.1.1 apparait bien comme mon serveur DNS et cela semble fonctionner pour le NAS ...

Je ne comprends pas pourquoi après avoir fait un flushdns mon client m'indique un IP locale de serveur DNS qui ne correspond pas à aux IP DNS renseignées dans l'interface SRM ?

Le 17/03/2025 à 11:17 AM, .Shad. a dit :

Sur l'impression d'écran qui reprend les réglages DNS de ton NAS, je vois que tu as précisé 192.168.10.1 (a priori la patte LAN de ton routeur Synology) en DNS primaire et 192.168.1.1 (a priori l'IP de ta box) en DNS secondaire.

A moins d'avoir des règles de routage spécifiques, ce n'est pas une configuration intéressante, soit tu passes par ton N+1 (ton routeur), soit directement par l'IP publique des serveurs DNS, mais pas un entredeux de la sorte.

Ton NAS est-il configuré en adressage statique ou il obtient ses informations par DHCP ?

J'avais historiquement assigné les serveurs Résolveurs DNS ouverts | FDN - Fournisseur d'Accès à Internet associatif depuis 1992 soit :

Citation

• ns0.fdn.fr : 80.67.169.12 ou 2001:910:800::12
• ns1.fdn.fr : 80.67.169.40 ou 2001:910:800::40

Puisque ma livebox semblait fonctionnelle quand j'ai détecté mon problème je pensais qu'en assignant son IP privée mon routeur utiliserait le même serveur DNS qu'elle et donc que cela fonctionnerait ce qui n'est visiblement pas le cas.

Mon NAS passe par un DHCP sur mon routeur Synology mais j'ai assigné pour le client NAS spécifiquement une durée d'expiration illimité - in fine mon IP privée du NAS est donc fixe. 

D'ailleurs au passage :

• Quelle est la différence entre l'adresse du serveur DNS dans la section "interface principale" et les deux adresses dans la section "configurer manuellement DNS server" (cf. capture ci-dessous) ?
• Comment assigner un DoH ? Il me suffit de remplacer dans le champ l'adresse IP par "https://ns0.fdn.fr/dns-query" (toujours un serveur fdn) ? 

Modifié le 18 mars par TuringFan

[PiwiLAbruti]

Vérifie les paramètres réseau du PC client. Est-ce que l'adresse 192.168.10.1 est définie manuellement ou est distribuée par DHCP ? Quelle est l'adresse du serveur DHCP ?